【摘要】：隨著Web技術(shù)的不斷發(fā)展,Web應(yīng)用已經(jīng)成為人們?nèi)粘Ｉ钪胁豢扇鄙俚墓ぞ?基于它人們可以完成聊天、購物、轉(zhuǎn)賬等活動。然而Web安全問題也隨之日益突出,其中跨站腳本(Cross-site scripting,XSS)漏洞是Web應(yīng)用程序中最常見和最嚴(yán)重的安全問題之一。XSS漏洞廣泛存在于各類Web應(yīng)用程序中,攻擊者利用XSS漏洞可以進(jìn)行信息竊取、會話劫持等攻擊,因此如何自動檢測Web應(yīng)用程序中的XSS漏洞對保護(hù)用戶隱私數(shù)據(jù),保障Web安全具有重要意義。本文選擇模糊測試方法進(jìn)行漏洞檢測。相比白盒測試,模糊測試不需要獲得應(yīng)用程序的實(shí)現(xiàn)代碼,通過生成攻擊向量并觀察返回的響應(yīng)結(jié)果來分析是否存在漏洞。為解決現(xiàn)有攻擊向量庫規(guī)模大、針對性不強(qiáng)的問題,本文提出了一種攻擊向量自動生成的優(yōu)化方案。首先,提出了使用模塊化的方式構(gòu)造基本攻擊向量,使用巴科斯范式定義基本攻擊向量的語法,并根據(jù)語法生成基本攻擊向量庫。隨后,從基本攻擊向量的選取和變異攻擊向量的生成兩個方面優(yōu)化了攻擊向量的生成方法:1.提出了從兩個方面優(yōu)化基本攻擊向量的選取。一方面,對基本攻擊向量按照敏感字符和敏感字符串?dāng)?shù)量升序排列,以生成最有可能快速繞過服務(wù)端過濾器的基本攻擊向量選取順序。另一方面,約定了輸出上下文與基本攻擊向量類型的映射關(guān)系,以針對不同輸出上下文注入對應(yīng)類型的基本攻擊向量。2.提出了從兩個方面優(yōu)化變異攻擊向量的生成。一方面,總結(jié)了現(xiàn)有的變異規(guī)則,并將變異規(guī)則與基本攻擊向量的組成模塊進(jìn)行對應(yīng),以針對特定模塊使用對應(yīng)的變異規(guī)則。另一方面,基于網(wǎng)站過濾機(jī)制提出了一種優(yōu)化變異攻擊向量生成的方法。該方法通過分析響應(yīng)內(nèi)容中被過濾的向量模塊,構(gòu)造接下來使用的變異攻擊向量。本文設(shè)計并實(shí)現(xiàn)了 XSS漏洞檢測系統(tǒng),使用了基于無頭瀏覽器的網(wǎng)絡(luò)爬蟲,并且通過嘗試頁面觸發(fā)獲得隱藏DOM節(jié)點(diǎn)。系統(tǒng)分為四個模塊:頁面爬取及解析模塊、輸出上下文確定模塊、攻擊向量構(gòu)造模塊和攻擊結(jié)果檢測模塊。實(shí)驗結(jié)果表明,XSS漏洞檢測系統(tǒng)能夠有效的檢測出Web應(yīng)用中的XSS漏洞。通過尋找隱藏節(jié)點(diǎn)有效提高了注入點(diǎn)數(shù)量,并且在其中發(fā)現(xiàn)了漏洞。本文提出的攻擊向量生成方法能夠生成數(shù)量少、精準(zhǔn)度高的攻擊向量。
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2019
【分類號】：TP393.08
【圖文】：

逡逑向輸入框輸入“ｔｅｓｔ”后結(jié)果如圖２－２所不。逡逑提交查詢逡逑輸入為逡逑ｔｅｓｔ逡逑圖２－２輸入“ｔｅｓｔ”后的頁面展示逡逑如圖２－３所示，查看源代碼可以看到輸入的“ｔｅｓｔ”字符串在ｂｏｄｙ標(biāo)簽中。逡逑＜ｈｔｍｌ＞邋ｅｖｅｎｔ逡逑？邋＜ｈｅａｄ＞；＊＊－邋＜／ｈｅａｃｉ＞逡逑＜ｂｏｄｙ＞逡逑＜ｆｏｒｍ邋ａｃｔｉｏｎ＝，ｔｎ邋ｍｅｔｈｏｄ＾＾ｇｅｔ１＾逡逑＜ｉｎｐｙｔ邋ｔｙｐｅ＝＂ｔｅｘｔ＂邋ｎａｍｅ＝Ｈｘｉｎｐｕｔｎ＞逡逑＜ｉｎｐｕｔ邋ｔｙｐｅ＝，，ｓｕｂｍｉｔＨ＞逡逑＜／ｆｏｒｍ＞逡逑輸入為逡逑＜ｂｒ＞邐邐逡逑＜／ｂｏｄｙ＞逡逑圖２－３輸入“ｔｅｓｔ”后的頁面源代碼逡逑如果向輸入框輸入一段彈框腳本々（＾咖NB化打＾＾＾＾＾＾＾是否也會被插入逡逑到ｂｏｄｙ標(biāo)簽內(nèi)，并執(zhí)行呢？結(jié)果如圖２－４所示。逡逑．．．——：邐—．逡逑輸入為邐＇邐咖邐－逡逑確定｜逡逑邐邋—邐—…逡逑圖邋２－４邋提交邋“〈ｓｃｒｉｐＰａｌｅｒｔＣｘｓｓ’ｈ／ｓｃｒｉｐＰ”邋后的頁面展示逡逑可以看到這段腳本被成功的執(zhí)行了，說明該輸入框存在ＸＳＳ漏洞。逡逑從以上例子可以得出，ＸＳＳ漏洞的產(chǎn)生源于網(wǎng)站未對用戶的輸入數(shù)據(jù)進(jìn)行正逡逑確驗證，以及包含惡意代碼的響應(yīng)數(shù)據(jù)在反射回瀏覽器前沒有被正確編碼或轉(zhuǎn)義，逡逑而被攻擊者所利用。很多Ｗｅｂ應(yīng)用程序在開發(fā)時未重視對用戶輸入內(nèi)容的處理

逡逑向輸入框輸入“ｔｅｓｔ”后結(jié)果如圖２－２所不。逡逑提交查詢逡逑輸入為逡逑ｔｅｓｔ逡逑圖２－２輸入“ｔｅｓｔ”后的頁面展示逡逑如圖２－３所示，查看源代碼可以看到輸入的“ｔｅｓｔ”字符串在ｂｏｄｙ標(biāo)簽中。逡逑＜ｈｔｍｌ＞邋ｅｖｅｎｔ逡逑？邋＜ｈｅａｄ＞；＊＊－邋＜／ｈｅａｃｉ＞逡逑＜ｂｏｄｙ＞逡逑＜ｆｏｒｍ邋ａｃｔｉｏｎ＝，ｔｎ邋ｍｅｔｈｏｄ＾＾ｇｅｔ１＾逡逑＜ｉｎｐｙｔ邋ｔｙｐｅ＝＂ｔｅｘｔ＂邋ｎａｍｅ＝Ｈｘｉｎｐｕｔｎ＞逡逑＜ｉｎｐｕｔ邋ｔｙｐｅ＝，，ｓｕｂｍｉｔＨ＞逡逑＜／ｆｏｒｍ＞逡逑輸入為逡逑＜ｂｒ＞邐邐逡逑＜／ｂｏｄｙ＞逡逑圖２－３輸入“ｔｅｓｔ”后的頁面源代碼逡逑如果向輸入框輸入一段彈框腳本々（＾咖NB化打＾＾＾＾＾＾＾是否也會被插入逡逑到ｂｏｄｙ標(biāo)簽內(nèi)，并執(zhí)行呢？結(jié)果如圖２－４所示。逡逑．．．——：邐—．逡逑輸入為邐＇邐咖邐－逡逑確定｜逡逑邐邋—邐—…逡逑圖邋２－４邋提交邋“〈ｓｃｒｉｐＰａｌｅｒｔＣｘｓｓ’ｈ／ｓｃｒｉｐＰ”邋后的頁面展示逡逑可以看到這段腳本被成功的執(zhí)行了，說明該輸入框存在ＸＳＳ漏洞。逡逑從以上例子可以得出，ＸＳＳ漏洞的產(chǎn)生源于網(wǎng)站未對用戶的輸入數(shù)據(jù)進(jìn)行正逡逑確驗證，以及包含惡意代碼的響應(yīng)數(shù)據(jù)在反射回瀏覽器前沒有被正確編碼或轉(zhuǎn)義，逡逑而被攻擊者所利用。很多Ｗｅｂ應(yīng)用程序在開發(fā)時未重視對用戶輸入內(nèi)容的處理

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 傅君明;;高中數(shù)學(xué)中向量問題的分類解析[J];高中數(shù)學(xué)教與學(xué);2016年22期

2 金鵬;;在探究中加深理解 在領(lǐng)悟中提升素養(yǎng)——以“向量的概念及表示”的教學(xué)為例[J];中學(xué)數(shù)學(xué)月刊;2017年05期

3 周志云;;平面向量備考策略[J];高中數(shù)理化;2017年05期

4 楊天育;楊龍婷;;向量在高考數(shù)學(xué)解題中的應(yīng)用[J];數(shù)學(xué)大世界(下旬);2017年06期

5 宋禹;姚誠智;;基于向量方法提出關(guān)于空間圖形穩(wěn)定性的設(shè)想[J];中學(xué)生數(shù)理化(學(xué)習(xí)研究);2017年08期

6 周科;;對考查向量的試題背景分析與教學(xué)備考建議[J];數(shù)學(xué)大世界(上旬);2017年08期

7 崔華梅;戴宏照;;構(gòu)造圓解決向量問題[J];中學(xué)生數(shù)學(xué);2017年15期

8 彭雪純;;基于平面幾何性質(zhì)的向量問題思考[J];數(shù)碼世界;2017年09期

9 楊春梅;;題有多變 貴在尋根——例談向量中的三角形中線性質(zhì)[J];高中數(shù)理化;2017年17期

10 馮寅;;架起內(nèi)心和向量之間的橋梁[J];數(shù)理化解題研究;2017年22期

相關(guān)會議論文 前7條

1 張曉艷;王挺;陳火旺;;基于多向量和實(shí)體模糊匹配的話題關(guān)聯(lián)識別[A];第三屆全國信息檢索與內(nèi)容安全學(xué)術(shù)會議論文集[C];2007年

2 白維娟;;基于APOS理論的向量概念分析[A];教師教育論壇(第一輯）[C];2019年

3 王丹丹;;向量血流圖評價房顫患者左心室內(nèi)流場變化情況[A];中國超聲醫(yī)學(xué)工程學(xué)會第十四屆全國超聲心動圖學(xué)術(shù)會議論文匯編[C];2018年

4 王丹丹;;向量血流圖評價房顫患者左心室內(nèi)流場變化情況[A];中國超聲醫(yī)學(xué)工程學(xué)會第十三屆全國超聲心動圖學(xué)術(shù)會議論文匯編[C];2016年

5 繆浩然;黎塔;梁宏;;改進(jìn)的詞向量特征和CNN在語句分類中的應(yīng)用[A];第十四屆全國人機(jī)語音通訊學(xué)術(shù)會議（NCMMSC’2017）論文集[C];2017年

6 李鋒剛;張亞南;汪兵;;基于詞向量和AP聚類的短文本主題演化分析[A];第十三屆（2018）中國管理學(xué)年會論文集[C];2018年

7 陳進(jìn)于;錢若軍;;流固耦合問題的數(shù)值分析[A];慶祝劉錫良教授八十華誕暨第八屆全國現(xiàn)代結(jié)構(gòu)工程學(xué)術(shù)研討會論文集[C];2008年

相關(guān)博士學(xué)位論文 前4條

1 曾紹華;支持向量回歸機(jī)算法理論研究與應(yīng)用[D];重慶大學(xué);2006年

2 曾志強(qiáng);支持向量分類機(jī)的訓(xùn)練與簡化算法研究[D];浙江大學(xué);2007年

3 王鑫;基于表示學(xué)習(xí)的情感分析關(guān)鍵技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2017年

4 步紅剛;基于混合特征向量和單分類檢測器的織物瑕疵自動檢測研究[D];東華大學(xué);2010年

相關(guān)碩士學(xué)位論文 前10條

1 馮亦彤;基于攻擊向量自動生成的XSS漏洞檢測系統(tǒng)的研究與設(shè)計[D];北京郵電大學(xué);2019年

2 徐貝貝;基于詞向量的流感病毒宿主預(yù)測和病毒序列鑒定[D];湖南大學(xué);2018年

3 潘�，|;遷移學(xué)習(xí)中預(yù)訓(xùn)練中文詞向量優(yōu)化方法研究[D];北京交通大學(xué);2018年

4 陳華杰;基于注意力詞向量的情感分類方法研究[D];哈爾濱工業(yè)大學(xué);2017年

5 王賀;詞向量的改進(jìn)及其在作品風(fēng)格識別中的應(yīng)用[D];大連理工大學(xué);2018年

6 陳成;基于向量—子空間夾角判據(jù)分析食品藥品中的添加劑[D];廣西科技大學(xué);2014年

7 曹雅茹;基于詞向量與詞性的情感分析算法研究[D];天津大學(xué);2018年

8 白洋;基于NLP詞向量技術(shù)的大規(guī)模專利信息檢索系統(tǒng)[D];天津大學(xué);2018年

9 汪靜;基于詞向量的中文短文本分類問題研究[D];中南民族大學(xué);2018年

10 殷青;XSS檢測中攻擊向量的研究[D];東南大學(xué);2018年

本文編號：2740311